En 2024 Google repartió 12 millones de dólares en recompensas a más de 600 investigadores de todo el mundo dentro de su programa de detección de vulnerabilidades, conocido como Vulnerability Reward Program (VRP), según ha informado a través de un post en el que recuerda que la compañía ha ampliado el alcance de sus programas, incluyendo mejoras en Chrome, Google Cloud, dispositivos Android y hasta inteligencia artificial generativa.
Cambios Clave en el Programa de Recompensas
Entre las novedades de 2024, Google implementó ajustes en su estructura de pagos, con premios máximos más altos para atraer investigaciones más profundas y sofisticadas. Algunas cifras destacadas incluyen:
- VRP general: Aumentó las recompensas máximas hasta 151.515 dólares por vulnerabilidad crítica.
- Programa Móvil: Ofreció hasta 300.000 dólares por fallos en aplicaciones de alto perfil.
- Chrome: Elevó el pago máximo a 250.000 dólares por ejecución remota de código.
- Google Cloud: Premió con hasta 151.515 dólares por fallos críticos en la nube.
Además, para facilitar el proceso de pagos a los cazadores de bugs, la compañía incorporó a Bugcrowd como nueva opción de pago dentro de la plataforma bughunters.google.com.
En 2024, Google otorgó más de 3,3 millones de dólares en recompensas a investigadores que detectaron fallos de seguridad en el ecosistema Android y aplicaciones móviles de la empresa. Si bien se registró un descenso del 8% en el número total de reportes, hubo un aumento del 2% en la cantidad de vulnerabilidades críticas y de alto impacto.
Chrome
El navegador Chrome también recibió mejoras significativas en su programa de recompensas, aumentando la máxima recompensa individual a 250.000 dólares para vulnerabilidades que permitan la ejecución remota de código sin comprometer el «renderer».
Explica la compañía en su comunicado que un hito clave en 2024 fue la implementación total de MiraclePtr, una tecnología de mitigación de errores de uso después de liberación (Use-After-Free, UAF). Gracias a esta medida, los errores protegidos por MiraclePtr dejaron de considerarse explotables, y Google incrementó el pago por vulnerabilidades que logren eludir esta protección hasta los 250.128 dólares.
En total, se registraron 337 informes de fallos de seguridad únicos en Chrome, lo que resultó en 3,4 millones de dólares en recompensas para 137 investigadores.
Cloud VRP e Inteligencia Artificial
El programa de recompensas centrado en Google Cloud, Cloud VRP, debutó en octubre de 2024 con una gran acogida en la comunidad de investigadores. Desde su lanzamiento, se analizaron más de 400 reportes, con la identificación de 200 vulnerabilidades únicas en productos y servicios de Google Cloud. Como resultado, Google pagó más de 500.000 dólares en recompensas a los participantes.
Por primera vez, Google incluyó la inteligencia artificial en su programa de recompensas, explorando la seguridad de modelos de lenguaje generativo y sistemas de IA. Durante el primer año del programa, la compañía recibió más de 150 reportes de errores, distribuyendo 55.000 dólares en premios.
Además, organizó un evento bugSWAT exclusivo para la seguridad en IA, donde los participantes enviaron 35 informes, sumando más de 87.000 dólares en recompensas.
Para 2025, Google planea expandir el alcance de este programa, permitiendo a los investigadores contribuir con hallazgos en nuevas áreas de IA generativa.
Para aquellos interesados en unirse al programa de recompensas, Google invita a seguir el canal Google VRP en X y a visitar el Security Engineering Blog, donde se publican actualizaciones periódicas sobre seguridad y vulnerabilidades.
